Cointime

Cointime

Download App
iOS & Android

Phân tích hai sơ đồ ví của MPC và hợp đồng thông minh

Validated Media

Nhìn bề ngoài, MPC linh hoạt và hiệu quả, tuy nhiên, khi nghiên cứu chuyên sâu, chúng tôi đã tìm thấy một số lỗ hổng bảo mật và vectơ tấn công vốn có trong MPC và chúng tôi không thể phủ nhận sự tồn tại của những vấn đề này.

Tiêu đề gốc: " Rủi ro của MPC và sự chuyển đổi sang Ví hợp đồng thông minh "

Được viết bởi: Sukhans Asrani

Biên dịch: MK

Tự lưu trữ hiện không đạt yêu cầu. Các giải pháp mặc định như Sổ cái, Metamask và các Tài khoản sở hữu bên ngoài (EOA) khác gây ra các vấn đề thực sự cho người dùng tiền điện tử.

Là người dùng, bạn phải:

1. Tìm hiểu cách bảo vệ cụm từ hạt giống của bạn. Nếu kẻ tấn công lấy được cụm từ hạt giống 24 từ của bạn, chúng có thể đánh cắp tất cả tài sản của bạn.

2. Tránh sai lầm khi giao dịch. Việc ký kết các giao dịch độc hại hoặc gửi tài sản đến địa chỉ sai là quá phổ biến.

3. Xây dựng kế hoạch phục hồi và kế thừa tùy chỉnh trong trường hợp bạn hoặc người thân của bạn mất quyền truy cập vào cụm từ hạt giống của bạn.

Điện toán đa bên (MPC) và ví hợp đồng thông minh là hai giải pháp có thể giải quyết những vấn đề này. Chúng cho phép các nhà cung cấp ví xây dựng các tính năng như khôi phục xã hội, giới hạn giao dịch, xác thực hai yếu tố, v.v. trên EOA. Tại Waymont, ban đầu chúng tôi đã áp dụng MPC. Nhìn bề ngoài, nó có vẻ linh hoạt và hiệu quả. Tuy nhiên, khi tìm hiểu sâu hơn, chúng tôi đã tìm thấy một số lỗ hổng bảo mật và vectơ tấn công cố hữu trong MPC và chúng tôi không thể phủ nhận sự tồn tại của những vấn đề này.

Do đó, cuối cùng chúng tôi đã quyết định chuyển cơ sở hạ tầng sang các hợp đồng thông minh của Safe, hiện đang quản lý an toàn hơn 100 tỷ đô la Mỹ tài sản. Bài viết này sẽ trình bày chi tiết: 1) ví MPC hoạt động như thế nào; 2) các vấn đề về MPC mà chúng tôi đã tìm thấy; 3) lý do tại sao chúng tôi chuyển sang hợp đồng thông minh.

1) Nguyên lý hoạt động của ví MPC

Ở cấp độ cao, ví MPC tạo khóa riêng được chia trước thành các chia sẻ khóa và phân phối cho các bên khác nhau. Các chia sẻ khóa này có thể ký các giao dịch một cách độc lập và chữ ký ngoại tuyến của mỗi chia sẻ khóa có thể được kết hợp thành chữ ký Ethereum hợp lệ.

Các mô hình MPC nhìn chung tương tự nhau, nhưng các bên nắm giữ cổ phần chính có thể khác nhau.

MPC tập trung: Tất cả các chia sẻ khóa được kiểm soát bởi một thực thể duy nhất (chẳng hạn như Coinbase), nhưng được xử lý trong môi trường đám mây an toàn và biệt lập. Cách tiếp cận này thường được các nhà cung cấp dịch vụ lưu trữ tổ chức sử dụng để đạt hiệu quả hoạt động, nhưng nó có thể khiến tài sản dễ bị tấn công nội bộ và các điểm lỗi đơn lẻ. Điều này cũng có thể yêu cầu nhà cung cấp đăng ký làm người giám hộ hợp pháp.

Hybrid MPC: Chia sẻ khóa được phân phối giữa người dùng, nhà cung cấp ví và bên thứ ba. Các nhà cung cấp như Fireblocks và ZenGo sử dụng phương pháp này để bạn không phải tin tưởng một nhà cung cấp tập trung nắm giữ tất cả các cổ phần chính. Mặc dù điều này mang lại tính bảo mật cao hơn, nhưng nó vẫn yêu cầu một bên tập trung phân phối, quản lý và thu hồi các chia sẻ chính một cách an toàn.

2) Thách thức của ví MPC

Bất kể bạn sử dụng mô hình nào, có ba vấn đề chính với thiết lập dịch vụ lưu trữ dựa trên MPC.

Vấn đề 1: Bạn phải tin tưởng một bên tập trung để phối hợp an toàn việc ký và tạo khóa.

Mọi thiết lập MPC kết hợp hoặc tập trung nhất thiết phải yêu cầu một bên tập trung đáng tin cậy để bảo vệ an toàn một hoặc nhiều chia sẻ khóa (và các chia sẻ khóa dự phòng có khả năng).

Vấn đề 1: Bạn phải tin tưởng một bên tập trung để phối hợp an toàn việc ký và tạo khóa.

Mọi thiết lập MPC kết hợp hoặc tập trung nhất thiết phải yêu cầu một bên tập trung đáng tin cậy để bảo vệ an toàn một hoặc nhiều chia sẻ khóa (và các chia sẻ khóa dự phòng có khả năng).

Việc bảo mật các chia sẻ chính này yêu cầu cơ sở hạ tầng đám mây tinh vi và đáng tin cậy. Sự phức tạp liên quan đến việc tạo khóa phân tán, xoay vòng khóa và thu hồi khóa có thể khiến bạn có nguy cơ bị lộ khóa chia sẻ thông qua các mối đe dọa nội bộ và các cuộc tấn công trung gian. Việc tiếp xúc đủ số lượng chia sẻ chính sẽ giúp kẻ tấn công kiểm soát hoàn toàn tài sản của bạn.

Vấn đề 2: Bạn phải tin tưởng rằng các chia sẻ khóa cũ sẽ bị loại bỏ đúng cách khi thu hồi khóa.

Nếu bạn muốn thu hồi quyền truy cập của người ký MPC, bạn cần có khả năng thu hồi các khóa và bạn cần tin tưởng tất cả các bên để loại bỏ các chia sẻ khóa cũ. Do tính chất xác định của mật mã, việc thu hồi các chia sẻ chính có thể là một thách thức. Nếu cơ sở hạ tầng chia sẻ khóa của nhà cung cấp ví bị vi-rút xâm phạm, vi-rút có thể không hoạt động, thu thập các chia sẻ khóa cũ mỗi khi khóa bị thu hồi, cho đến khi kẻ tấn công có đủ chia sẻ khóa để chuyển tất cả tài sản.

Vấn đề 3: Bạn phải tin tưởng rằng thuật toán MPC của bạn không có lỗi

Thuật toán MPC liên quan đến mật mã phức tạp và thuật toán được cập nhật thường xuyên để cải thiện hiệu suất và chức năng. Các lỗ hổng đã được tìm thấy trong các thuật toán tiêu chuẩn ngành và một lỗi trong quá trình triển khai MPC có thể dẫn đến việc kẻ tấn công khai thác lỗ hổng bị mất hoàn toàn tiền.

Ví dụ: hai lỗ hổng gần đây đã được phát hiện trong không gian tiền điện tử:

1. Rò rỉ thông tin private key của GG18 và GG20 (thuật toán MPC được Fireblocks sử dụng trong năm 2019-2021)

2. Một lỗ hổng được phát hiện gần đây trong triển khai MPC của BitGo sẽ cung cấp cho tin tặc toàn quyền truy cập vào tiền của bạn chỉ bằng một chữ ký.

3) Hợp đồng thông minh > Ví dựa trên MPC

Chuyển sang giải pháp hợp đồng thông minh (An toàn) cho phép chúng tôi loại bỏ mọi lo ngại mà chúng tôi có:

Vấn đề 1: Bạn phải tin tưởng một bên tập trung để phối hợp an toàn việc ký và tạo khóa.

Giải pháp an toàn: minh bạch + chữ ký có thể kiểm chứng và tạo khóa. Kho tiền Waymont của bạn là ví đa chữ ký An toàn 2 trên 2. Bạn có thể xác minh trên chuỗi rằng người ký 1 là thiết bị di động đã đăng ký của bạn và người ký 2 là người bảo vệ chính sách Waymont của bạn. Waymont không bao giờ nắm giữ bất kỳ cổ phần quan trọng nào, vì vậy ngay cả khi bị lộ, các giao dịch không thể được bắt đầu và tài sản của bạn bị tổn hại.

Vấn đề 2: Bạn phải tin tưởng rằng các chia sẻ khóa cũ sẽ bị loại bỏ đúng cách khi thu hồi khóa.

Giải pháp an toàn: Bạn có thể tự do xoay các phím, xóa và thêm người ký trên chuỗi. Không cần loại bỏ các chia sẻ chính và không có nguy cơ các bên độc hại tích lũy các chia sẻ chính cũ.

Vấn đề 3: Bạn phải tin tưởng rằng thuật toán MPC của bạn không có lỗi.

Giải pháp của Safe: Các hợp đồng thông minh của Safe bảo vệ hơn 100 tỷ đô la tài sản. Kể từ năm 2018, các hợp đồng thông minh của Safe đã vượt qua các tiêu chuẩn bảo mật cao nhất của ngành, bao gồm xác minh chính thức và hoạt động tốt trong hơn 11 cuộc kiểm tra bảo mật.

Tuy nhiên, sử dụng Safe không phải là không có sự hy sinh. Bằng cách tối ưu hóa bảo mật, chúng tôi chấp nhận chi phí gas tăng lên và tạm thời khóa nó trên chuỗi EVM. Chúng tôi nghĩ rằng đây là một sự lựa chọn hiển nhiên. Ưu tiên tuyệt đối của chúng tôi là an toàn. Hợp đồng thông minh cũng cung cấp các lợi ích khác cho người dùng của chúng tôi:

1. Khóa thời gian trên chuỗi - khóa thời gian cho các hoạt động khôi phục và trì hoãn mà người dùng có thể hủy bỏ

2. Giao dịch hàng loạt - người dùng có thể thực hiện nhiều giao dịch cùng nhau để tiết kiệm gas

3. Giao dịch được tài trợ - Các bên khác có thể tài trợ giao dịch cho người dùng (cũng có thể thanh toán gas bằng bất kỳ mã thông báo ERC20 nào)

4. Bảo mật có thể lập trình - xoay vòng khóa trên chuỗi và quản lý khóa có thể lập trình (ví dụ: cần có các khóa ký bổ sung hoặc khác cho các giao dịch trên 10.000 đô la)

MPC vẫn có thể đóng một vai trò trong việc tự lưu trữ trong tương lai. Có thể là một lựa chọn hợp lý cho các tổ chức muốn làm việc với người giám sát. Hoặc như Lukas Schor, người sáng lập Safe, đã chỉ ra, MPC có thể được sử dụng như một giải pháp để cải thiện tính bảo mật của các khóa ký hợp đồng thông minh.

MPC vẫn có thể đóng một vai trò trong việc tự lưu trữ trong tương lai. Có thể là một lựa chọn hợp lý cho các tổ chức muốn làm việc với người giám sát. Hoặc như người sáng lập Safe, Lukas Schor đã chỉ ra, MPC có thể được sử dụng như một giải pháp để cải thiện tính bảo mật của các khóa ký hợp đồng thông minh.

Nhìn chung, với việc triển khai phù hợp, các thiết lập MPC có thể được bảo mật. Nhưng như đã nêu ở trên, MPC yêu cầu các giả định về niềm tin cố hữu và đưa ra các vectơ rủi ro mà Waymont và hầu hết những người dùng tiền điện tử gốc chúng tôi muốn tránh. Do đó, Waymont hiện đang tự tin bảo vệ hơn 100 tỷ đô la tài sản thông qua các hợp đồng thông minh An toàn.

cái ví Ethereum MPC Sổ cái MetaMask cơ sở hạ tầng ERC20 hợp đồng thông minh
Các bình luận

Tất cả bình luận

Recommended for you

  • Công ty Sapiom, chuyên về cơ sở hạ tầng tác nhân AI, đã huy động được 15,75 triệu đô la vốn đầu tư, dẫn đầu bởi Accel.

    Công ty cung cấp cơ sở hạ tầng cho các tác nhân AI, Sapiom, đã huy động được 15,75 triệu đô la Mỹ tiền đầu tư, dẫn đầu bởi Accel, cùng với sự tham gia của Gradient, Array Ventures, Okta Ventures, Menlo Ventures, Anthropic, Coinbase Ventures, Formus Capital và Operator Collective. Sapiom cung cấp quyền truy cập kinh tế API đáng tin cậy cho các tác nhân AI.

  • Bộ trưởng Tài chính Hoa Kỳ Bessenter: Ngành ngân hàng và tiền điện tử cuối cùng có thể sẽ cho ra mắt các sản phẩm tương tự.

    Bộ trưởng Tài chính Hoa Kỳ Scott Bessant cho biết trước Quốc hội rằng các sản phẩm và dịch vụ tài chính ngân hàng truyền thống và tiền điện tử có thể sẽ tích hợp sâu rộng hơn trong tương lai. Trong phiên điều trần của Ủy ban Ngân hàng Thượng viện hôm thứ Năm, Thượng nghị sĩ đảng Cộng hòa Cynthia Loomis đã hỏi ông Bessant liệu các ngân hàng truyền thống và lĩnh vực tiền điện tử có thể ra mắt các sản phẩm tài chính tương tự trong tương lai hay không. Ông Bessant trả lời: "Tôi tin rằng, nếu có thời gian, tầm nhìn này sẽ trở thành hiện thực. Trên thực tế, chúng tôi đang làm việc với các ngân hàng nhỏ và ngân hàng cộng đồng để tìm hiểu các con đường khả thi cho sự tham gia của họ vào cuộc cách mạng tài sản kỹ thuật số này." Ông Bessant nhấn mạnh rằng nếu không có các quy định rõ ràng, sự phát triển trong ngành công nghiệp tiền điện tử là "bất khả thi", và kêu gọi ngành công nghiệp ủng hộ Đạo luật CLARITY, một đạo luật liên quan đến cấu trúc thị trường tiền điện tử hiện đang được Quốc hội xem xét. Ông tuyên bố: "Chúng ta phải thúc đẩy việc ban hành Đạo luật CLARITY. Bất kỳ người tham gia thị trường nào phản đối đạo luật này đều có thể chuyển đến El Salvador." Ông Bessant nói thêm: "Chúng ta cần đưa ra các nguyên tắc hoạt động an toàn, mạnh mẽ và thận trọng cùng các hệ thống quản lý từ chính phủ Hoa Kỳ cho ngành công nghiệp tiền điện tử, đồng thời vẫn bảo vệ được sự tự do đổi mới của chính ngành này. Tôi tin rằng tất cả các bên hiện đang nỗ lực tìm kiếm sự cân bằng giữa hai điều này."

  • Tin vắn từ Cointime | Christy: RWA đang định hình lại cấu trúc đầu tư tài sản của mình để cho phép các nhà đầu tư thông thường tham gia vào việc phân bổ tài sản cốt lõi.

    Tại sự kiện Space này, Christy, Giám đốc điều hành của ThamesBridge và Phó Tổng thư ký của Hiệp hội Hệ sinh thái Quốc tế RWA, đã chia sẻ những hiểu biết của mình về tác động của RWA đối với cấu trúc thị trường đầu tư. Bà nhấn mạnh:

  • Tin tức nhanh của Cointime | Hakan: Chuỗi công khai RWA phải đạt được "sự phù hợp về độ tin cậy trên chuỗi với thế giới thực"

    Trong buổi thảo luận về không gian, CEO của Soly Chain, ông Hakan, đã chia sẻ những hiểu biết quan trọng về logic thiết kế của cơ sở hạ tầng RWA và kiến ​​trúc tuân thủ nền tảng của nó. Ông cho biết:

  • Tin vắn Cointime | Wang Ping: Bức tranh tài chính toàn cầu đang bước vào "kỷ nguyên mới của tài chính kỹ thuật số", và Hồng Kông sẽ trở thành một trung tâm quan trọng.

    Trong sự kiện đặc biệt của Space với chủ đề "Kiến tạo kỷ nguyên mới của tài chính kỹ thuật số toàn cầu và đưa Hồng Kông trở thành trung tâm tài chính tầm cao mới", do Cointime, ITA, Liên đoàn Quốc tế Hệ sinh thái RWA và Soly Chain đồng tổ chức, ông Wang Ping, Chủ tịch điều hành kiêm Tổng giám đốc Liên đoàn Quốc tế Hệ sinh thái RWA, đã chia sẻ quan điểm hệ thống của mình về việc tái cấu trúc bối cảnh tài chính toàn cầu và con đường phát triển của hệ sinh thái RWA. Ông chỉ ra rằng:

  • Chỉ còn 3 ngày nữa là đến Hội nghị thượng đỉnh toàn cầu RWA lần đầu tiên, ITA 2026

    Tin tức ngày 6 tháng 2: Để khám phá các xu hướng tiên tiến trong lĩnh vực Tài sản Thế giới Thực (RWA) và xây dựng một nền tảng trao đổi và hợp tác cấp cao liên quan đến chính phủ, kinh tế, công nghiệp, học thuật và nghiên cứu, Tạp chí Bauhinia, cùng với Liên đoàn Quốc tế Hệ sinh thái RWA, Công ty TNHH Công nghệ Triangle (Hồng Kông), Tập đoàn WebX Global Digital Holdings, Coin Found và các công ty khác, sẽ tổ chức "Hội nghị thượng đỉnh toàn cầu RWA lần thứ nhất ITA 2026" tại Hồng Kông vào ngày 9 tháng 2, chỉ còn 3 ngày nữa là đến sự kiện.

  • Chỉ còn 3 ngày nữa là đến Hội nghị thượng đỉnh toàn cầu RWA lần đầu tiên, ITA 2026

    Tin tức ngày 6 tháng 2: Để khám phá các xu hướng tiên tiến trong lĩnh vực Tài sản Thế giới Thực (RWA) và xây dựng một nền tảng trao đổi và hợp tác cấp cao liên quan đến chính phủ, kinh tế, công nghiệp, học thuật và nghiên cứu, Tạp chí Bauhinia, cùng với Liên đoàn Quốc tế Hệ sinh thái RWA, Công ty TNHH Công nghệ Triangle (Hồng Kông), Tập đoàn WebX Global Digital Holdings, Coin Found và các công ty khác, sẽ tổ chức "Hội nghị thượng đỉnh toàn cầu RWA lần thứ nhất ITA 2026" tại Hồng Kông vào ngày 9 tháng 2, chỉ còn 3 ngày nữa là đến sự kiện.

  • ETH vượt mốc 1900 đô la.

    Dữ liệu thị trường cho thấy ETH đã vượt qua mốc 1.900 đô la và hiện đang giao dịch ở mức 1.901,08 đô la, giảm 11,59% trong 24 giờ qua. Thị trường rất biến động, vì vậy hãy quản lý rủi ro của bạn cho phù hợp.

  • BTC vượt mốc 64.000 đô la

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 64.000 đô la và hiện đang giao dịch ở mức 64.005,35 đô la, giảm 12,3% trong 24 giờ. Thị trường đang biến động mạnh, vui lòng quản lý rủi ro của bạn cho phù hợp.

  • Trong giờ qua, 559 triệu đô la giá trị vị thế đã được thanh lý trên toàn mạng lưới, chủ yếu là các vị thế mua dài hạn.

    Dữ liệu cho thấy trong giờ qua, tổng cộng 559 triệu đô la giá trị vị thế đã bị thanh lý trên toàn mạng, bao gồm 458 triệu đô la vị thế mua và 101 triệu đô la vị thế bán, trong đó vị thế mua là mục tiêu chính. Cụ thể, 96,2335 triệu đô la vị thế ETH và 270 triệu đô la vị thế BTC đã bị thanh lý.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty